比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

互聯網醫院大門已敞開,信息安全有哪些薄弱點、又該如何保障?_WEB

Author:

Time:1900/1/1 0:00:00

2018年,醫療信息化、互聯網醫療重量級政策和標準頻發,這為醫院進入下一個醫療行業的信息安全市場情況如何?醫院目前的信息安全的薄弱點有哪些?醫院該如何應對信息化創新產品下的信息安全,以及日益泛濫的網絡勒索?這些問題,將在本篇文章中得到深度探討。

醫療信息安全市場缺乏活力,根本原因是?

下面這張表,是動脈網結合2018年《全國醫院信息化建設標準與規范》安全要求,以及中國醫院協會信息管理專業委員會CHIMA發布的《2017-2018中國醫院信息化狀況調查報告》中的相關數據得出。將兩者相互印證之后,動脈網得出了目前三級醫院信息安全建設情況:

從表中可以看出,目前三級醫院的信息安全建設,主要集中在防火墻、反病、VPN/網閘和容災備份這四個方面;建設較差的主要包括安全審計、身份認證、隱私保護、終端安全和網絡安全。

針對醫療行業信息安全市場的現狀,廣州市婦女兒童醫療中心數據中心副主任曹曉均給出了自己的觀點。他認為,市場的大小根本原因在于醫療行業的安全建設相對落后。行業中,并沒有整體的安全規劃或建設思路。并且,大部分醫院的安全建設都是滿足合規性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度,就可以通過等保要求,真正用心做安全整體設計的并不多。這種現狀,導致整個醫療信息安全市場缺乏活力。

此外,目前國內醫療行業更關注業務發展需求,缺乏專業的網絡安全人才儲備,這也是目前比較大的挑戰。

一位業內人士則透露,一方面醫院信息部門的地位相對弱勢,信息化建設大多取決于院方領導的意識。對醫院來說,單位網絡設備體量不大,一般是純內網的環境,當前重點建設基本集中在網絡基礎設施完善,安全建設相對滯后。再加上醫療行業屬于財政差額撥款單位,有相當一部分醫院資金不富裕,因此安全建設的優先級相對較低。

對于國內醫療信息安全市場現階段的產值規模,作為國內信息安全企業的代表,綠盟科技相關負責人分析了以下兩點原因:

“區塊鏈之家”正式上線國家互聯網應急中心官網:金色財經報道,2020年6月30日,由國家互聯網應急中心自主研發的區塊鏈數據服務平臺“區塊鏈之家”正式上線CNCERT官網。“區塊鏈之家”定位于全面、深度的區塊鏈數據服務平臺,目標是成為行業通用的區塊鏈數據導航和服務門戶,幫助用戶快速了解區塊鏈行業、分析鏈上數據。同時,“區塊鏈之家”對比特幣、以太坊等主流公有區塊鏈賬本數據進行全量深度解析,為用戶免費提供高效、可靠的鏈上賬本數據查詢和分析服務。[2020/6/30]

其一,信息安全相關配套政策和標準較少。在網絡安全法正式實施之前,國內對于個人隱私信息的安全要求幾乎空白。而醫療行業是涉及個人隱私信息最為深入的領域,沒有法律法規上的明確要求,沒有行業標準的具體指向,各級醫療機構很難認識到信息安全對自身業務的深刻影響,也就很少會主動考慮在安全方面有所投入。

其二,信息或網絡安全對醫療行業的實際業務推進上缺乏直觀的價值感受。舉例而言,一所三甲醫院每年的IT類投資可能達到千萬級。但醫院決策者基于業務發展的考慮更多的會對臨床、研究、醫技等業務領域方面進行投入,原因就在于這些IT投資對業務的推進和支撐幾乎是肉眼可見,而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露,這些都不會被直接展示到決策者的案桌上。

正因如此,最近兩年,各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。

互聯網醫院扎堆出現,如何保障它們的信息安全?

如何保障互聯網醫院的信息安全?在回答這一問題前,首先要明確而其定義和具體要求。

互聯網醫院的概念提出,是為了解決原有傳統醫療體系中所欠缺的專業醫療資源不均衡和醫療服務體驗差的問題。因此互聯網醫院為了解決這兩大核心問題,采用的機制是借助互聯網這個強大的資源共享方式,借助云計算和大數據等技術,從模式和能力上對作為傳統醫療業務的補充。

中保協:區塊鏈等發展為互聯網非車險場景化產品創新等提供技術支持:3月16日,中國保險行業協會發布《2014-2019年互聯網財險市場分析報告》。報告稱,互聯網非車險保持高速增長態勢,一是隨著互聯網行業的快速成長,互聯網業態日益多元,為互聯網保險的發展提供了更豐富的場景和需求,促進了保險產品的創新和業務量的增長。二是隨著大數據、云計算、區塊鏈和人工智能等新技術的飛速發展,推動傳統產品的互聯網化,同時為互聯網非車險場景化產品創新、精準營銷、優化服務提供了強有力的技術支持。[2020/3/17]

互聯網醫院的管理辦法中提到,互聯網醫院由互聯網進行遠程訪問,會涉及到實體醫療機構的重要系統數據交換,同時根據互聯網醫院信息系統按照國家有關法律法規和規定,實施第三級信息安全等級保護。所以,在滿足醫院的互聯網接入和虛擬專用用上,醫院還要滿足數據安全的要求。

從本質上講,互聯網醫院的信息安全所要保障的根本并沒有變,依然是對于數據,特別是醫療臨床等相關的健康數據的保護,從傳輸、處理、共享、存儲各方面考慮其安全性。因此,要滿足這類安全需求,絕不是單一的安全產品能實現。醫院需要充分結合實際的技術場景,選擇在各個維度能夠達到風險控制需要的安全產品。

例如,在傳輸層面,互聯網邊界需要考慮訪問控制、入侵防護、病檢測和防護、WEB安全防護等措施。而在數據交換場景下,醫院需要考慮數據脫敏、數據加密、數據防泄漏、數據庫審計或防護等。所以,沒有最好的安全產品,只有最適合業務的安全解決方案。

對于目前備受關注的互聯網醫院的信息安全建設,國內知名數據安全廠商安華金和醫療行業負責人認為,互聯網專線和VPN能夠解決一部分的外網接入的安全問題,但從業務訪問的角度來講,業務數據系統對外提供,包括遠程醫療、醫保查詢、預約掛號等都需要直接訪問業務數據,對于數據本身的訪問安全以及對于內網訪問安全也需要加強。

例如,在數據庫安全方面可以采用數據庫審計、數據庫防火墻、數據庫加密、數據庫脫敏等手段進行安全加固。整體而言,可以從主動防御體系的思路做安全建設,這涉及四道防線:

現場 | “快的”打車創始人陳偉星:傳統互聯網企業需準確認知區塊鏈:金色財經現場報道,11月20日,泛城控股、泛城資本董事長,“快的”打車創始人陳偉星在“2018區塊鏈新經濟杭州峰會”圓桌論壇上表示,傳統互聯網企業對區塊鏈需要有個一準確的認知和定位,它是用來做價值登記和交換的,所以最重要的是建立通證的價值,沒有價值的交換和交易就是在交換空氣。[2018/11/20]

第一道防線:檢查預警。通過數據庫漏掃產品對數據庫威脅進行檢查分析,給出安全建議。

第二道防線:主動防御。通過數據庫安全運維產品的身份識別、運維審批、流程管理,防止非法人員操作;防止外部攻擊破壞;與此同時做好內部防護,防止內部超級權限。

第三道防線:底線防守。

閾值管控:規避批量惡意訪問,針對大批量醫療泄密進行告警控管,防止醫療數據批量查詢;

數據庫加密產品:防止防止醫患數據泄露“脫庫”;

數據庫脫敏產品:醫療數據去隱私化,防止泄漏真實數據給第三方。

第四道防線:事后追查。利用數據庫審計產品來區分是外部威脅還是內鬼作案,可以對安全事件進行責任追溯。

對于互聯網醫院APP的安全問題,綠盟科技則認為應該從應用服務端、網絡通信和用戶三個層面來整體看待。

對于服務端而言,基于移動應用端的APP安全與傳統的WEB安全并無本質區別,現有的WAF類防護產品依然適用,能夠防護來自APP端的攻擊,網絡通信端的安全則主要考慮數據的保密與完整性。因此,醫院可以通過SSL或HTTPS來解決。

而移動端的安全,對醫院這樣的企業級用戶而言,幾乎不可能通過傳統意義上的安全產品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件,那會帶來極大的用戶體驗下降。因此,目前更多的醫療機構在上線APP應用前,會進行系統性的安全評估和安全的黑白盒測試。基于測試和評估結果,安全廠商能夠指導開發者對不安全的漏洞進行及時修復,以此來徹底解決APP的安全問題。

聲音 | 中國互聯網金融協會李禮輝:區塊鏈金融應用仍欠缺核心競爭力:8月16日,據科學網消息,中國互聯網金融協會區塊鏈工作組組長李禮輝表示,區塊鏈在金融方面的應用場景主要包括資金清算、資產托管、資產登記、保險服務等。近一兩年來區塊鏈技術的規模化應用取得了局部突破。盡管如此,區塊鏈技術規模化的商業應用還需要突破:隱私保護技術、真實性監督機制、避免區塊鏈智能合約技術的漏洞同時實現可控的業務邏輯修正和合約升級、密鑰技術、滿足金融系統可用性與業務持續性的要求,并使信等機制、數據保存方式等獲得傳統金融機構的接受與認可等一系列技術瓶頸。由于這樣一些技術瓶頸的限制,當前區塊鏈技術的金融應用仍然不具備傳統金融IT系統的核心競爭力。[2018/8/16]

曹主任的觀點與綠盟科技類似,他認為,在遠程移動的訪問上,采用SSLVPN(國密)實現遠程訪問的卻是較好的方案。在互聯網醫院與偏遠地區醫療機構、基層醫療衛生機構、全科醫生與專科醫生的數據資源共享和業務協同上,可以考慮采用安全一體機部署在基礎醫療機構本地,實現VPN安全組網和數據加密傳輸。

VPN和防火墻,醫院青睞的兩大香餑餑

在騰訊最近發布的醫療行業安全指數報告中提到,目前醫療行業的網絡安全設備首選防火墻和VPN設備。

造成這個結果的原因,綠盟科技負責人認為主要有兩個:一是這兩類產品的使用范圍更多,凡是有網絡邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩定的專用網絡解決方案,凡是涉及到有需要遠程接入訪問內網的場景,都需要借助VPN實現,這造成了巨大的需求基數。

另外一方面,醫療用戶普遍對網絡安全的認識還不夠深刻。特別在廣大的基層醫療機構,因為網絡規模較小、信息數據量也不大,認為邊界防護有防火墻,通信數據保障有VPN即可確保整體網絡安全。

但其實無論醫療機構的大小,涉及到病患隱私信息數據、臨床信息數據等敏感數據的重要程度都是不言而喻。對這類數據的保護除了防火墻和VPN之外,還需要考慮邊界的縱深防護,諸如入侵防護、病過濾、針對WEB應用的WAF產品,針對數據庫保護的數據庫防火墻和安全審計等環節,等需要考慮建設。

上海社科院互聯網研究中心首席研究員李易: 相比追隨所謂風口,更愿意相信常識:大多數人看不懂當下流行的很多區塊鏈應用,不是他們的智商不夠,而是這東西被包裝得實在太過高深莫測,連我這樣所謂的專業人士都云里霧里。不懂裝懂的人太多,于是社會上出現一種新邏輯——不懂區塊鏈等于被時代拋棄。可是相比追隨所謂風口,我更愿意相信常識。想一想,一個沒有中央銀行、沒有證監會、沒有銀監會、沒有保監會,更沒有車輛和婚姻登記所的社會,是一個什么樣的社會呢?很多流行的區塊鏈應用到底是“天才發明”還是“龐氏騙局”,時間早晚會給出答案。(新京報)[2018/2/28]

對于目前醫院VPN的使用現狀,安華金和負責人在與某三級醫院信息科主任溝通之后,也給出了自己的觀點:VPN一方面用于遠程維護,另外一個主要的用途是區域聯網。但目前區域聯網更傾向于專線,只有條件不夠,醫院才選擇走VPN。比如不少醫院與市衛健委、省衛健委的連接方式就采用專線,而條件達不到的醫院,則只能使用VPN實現連接。

此外,在實際使用中,醫院不僅要考慮互聯網訪問的接入安全,還需考慮數據平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵,那么核心的數據將直接暴露在攻擊者面前。因此在對訪問進行準入控制的同時,也需要通過數據安全手段對核心數據進行專業的防護。

對此曹主任也給予了認同,他表示,在目前醫院的安全建設中,醫院內網及遠程醫療的發展尤為重要。因此,防火墻和VPN自然就作為剛需或首先。但隨著如大數據、云計算、移動互聯網、物聯網等新技術的發展,安全技術同樣需要發展和更新。

曹主任建議,醫院可以進行體系化的安全建設,包括安全技術體系、管理體系、運營體系,三者相輔相成。在方案上,可以采用融合安全、立體保護的架構,比如采用一體化的安全設備,減少設備運維管理壓力。另外,在端點安全、網絡邊界安全、云端安全、安全服務、安全管理制度等,醫院都應該及時加強。

保護醫院數據安全,都有哪些妙招?

根據2018年《全國醫院信息化建設標準與規范》安全的要求,三級醫院的數據安全保護主要包括以下8大措施:

1、防火墻

2、安全審計設備

3、系統加固設備

4、數據加固設備

5、入侵防范設備

6、身份認證系統

7、訪問控制系統

8、安全管理系統

對于現階段三級醫院建設較弱的身份認證環節,綠盟科技負責人表示,目前這部分醫院普遍使用4A產品如堡壘機,來解決院內的統一認證的問題。通過將賬號、認證、授權、審計四個過程,來解決對數據的訪問權限的問題。

而認證的方式則可以根據所訪問的數據和系統,醫院可以自行選擇強度適合的方式。例如針對核心的HIS數據,訪問可以采用多人、多因素的認證方式,兩個或兩個以上的人員保存一副密鑰的部分,通過靜態密碼結合短信令牌、CA證書、指紋或其他生物特征識別技術來實現強認證方式。針對醫院的醫護工作人員,則僅進行靜態密碼的認證來實現,以保障業務的順暢性。

在2018版的《電子病歷應用管理規范》解讀中,首都醫科大學附屬北京天壇醫院信息中心主任王韜曾闡述了現有數字簽名在電子病歷數據保護上存在的兩大隱患:

1、簽名內容的專屬性,目前尚未出臺電子病歷簽名內容的標準,這導致CA在簽名時不考慮提交簽名的內容是否存在問題,這到這患者存在“被掉包”的可能性。

2、簽名內容完整性。由于醫院簽名次數較多,CA在驗簽時無法發現醫院是否每次提交內容中有包含不利信息。

以上兩種隱患,王主任認為可以通過簽名+時間戳的方式進行解決。如此一來,就能保證每次的操作人員和操作時間可查詢、可追溯。

但據曹主任所言,目前普遍的認證方式都沒真正在醫院用起來。比如內網中采用最多的CA認證,雖然它可以實現雙因素認證,提高認證的安全性,但因為使用起來比較麻煩,并且還存在兼容性問題,因此醫院采用的其實并不多。

而在數據的查詢、追溯、管理上,醫院可以采用日志審計、堡壘機、數據庫審計等方式進行管理,實現一定程度上的數據保護。但是在大數據上,非結構化的數據會存在一定的問題。并且多設備的部署,醫院在管理運維方面也會比較麻煩。因此曹主任認為,在新的安全技術方向上,醫院可以采用軟件定義安全的模式進行部署。

面對日益泛濫的勒索攻擊,醫院該如何應對?

2018年1月15日,位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊,這促使技術人員關閉了整個網絡。在醫院電腦屏幕上出現勒索軟件通知后不久。黑客竟然猖狂地表示,在技術人員支付比特幣贖金前,他會長期“保管”一定數量的系統“人質”。

對此,衛生系統的IT團隊立即關閉了包括醫生辦公室和健康中心在內的所有網絡,以隔離病。相關技術人員表示,黑客正試圖讓醫院無法運營,使用“數字掛鎖”來限制人員對系統部分功能的訪問。

McAfee首席科學家RajSamani表示:“就勒索軟件而言,醫療行業遭受的損失可能是最多的。勒索軟件的爆炸式增長,其發源也是醫療領域。黑客們或將從傳統形式的勒索軟件,轉向更多的網絡破壞和服務中斷型攻擊。”

據動脈網了解,勒索病和挖礦病之所以威力巨大,一般是由于利用了永恒之藍等遠程攻擊方式,能夠自我傳播。因此,一個有趣的現象是,即所謂的內外網隔離的內網環境反倒更多地遭到侵襲,病也更泛濫。原因在于,相比于跟互聯網直接接觸的場景,純內網的生產環境對安全少了對危機的敏感度。因此,被攻擊或遭到病的侵襲也就成為必然結果。

在應對勒索病一事上,曹主任認為安全事件并非遙遠不及。安全建設也不是單單的滿足合規性建設,因為,哪怕很多醫院通過等級保護三級的驗收,也一樣會中勒索病。原因是安全技術的發展,傳統的防御技術對新型的威脅或者病是逐步失效的,所以需要加強監測與響應的能力。

在針對勒索病或者挖礦軟件的風險上,曹主任認為可以采用四個階段的防護措施:

第一階段:加強端點安全的建設,包括主機的系統補丁管理、安全基線管理、病查殺軟件等。可以部署下一代端點安全系統,如EDR軟件,可以通過人工智能、大數據技術實現勒索病變種及未知威脅的防護。

第二階段:加強全網流量風險監控及安全可視化的能力,通過整體安全感知平臺,通過流量分析實現網絡中的風險可視化,例如出現病感染時,可以通過全網的主機風險展示進行管理。

第三階段,在網絡邊界處部署下一代防火墻設備,需要支持IPS、僵尸網絡識別、AV防護等一體化的設備,并且可以和感知平臺實現聯動,當平臺發現問題后下方策略到防火墻上進行阻斷。

第四階段,加強全網應急響應及應急演練的能力,可以通過采購第三方專業的安全服務,實現快速的事件響應。對勒索病進行預防和應急處置。

醫療信息安全雖有政策加持,但仍是一個長期過程

醫療行業性政策標準和近兩年隨著網絡安全法正式實施,以及一些跟個人信息保護、關鍵信息基礎設施保護等相關的法規、條例和標準,都對于醫療行業整體的網絡安全環境形成有著非常正向的作用。細化行業政策和標準的出臺,從頂層設計到具體實現各個層面進行了一定的歸一化和標準化,統一共性問題的認識,統一解決思路,這不管是對于醫院還是安全廠商都是非常利好的事情。

醫院用戶具有了在細分業務上權威的信息網絡安全參考,安全廠商也可以在解決行業需求的問題上,更多的朝同一個大方向上的不同維度和領域來擴充和輸出優勢能力,對產業和行業用戶來說,是一個多贏的結果。

雖然行業形勢一片大好,但曹主任也給出了自己的一點建議:

雖然目前幾乎所有的安全企業都在積極的學習和解讀這些安全標準和政策,并根據自己的安全實踐提煉出切實可行的醫療安全方案。但也應該清醒地看到,政策標準到具體執行落地還需要一定的時間,短期內對應醫院的信息化建設上效應不明顯,這是一個長期的過程。

Tags:APPWEBSSLAPP幣是什么幣WEB價格WEB幣SSL價格SSL幣

幣安app官方下載最新版
韓國區塊鏈發展報告:市場包容性增大,前景值得期待_加密貨幣

前言 區塊鏈行業監管趨緊,人心惶惶,頗有草木皆兵的意味,著實給喧囂躁動的幣圈潑了一盆冷水。一墻之隔的韓國,最近區塊鏈的新聞和熱點卻源源不斷。落地在韓國的大會,層出不窮,一片火熱景象.

1900/1/1 0:00:00
數字貨幣進入熊市 火幣礦池上線生態通證HPT_HPT

華夏時報記者劉陳希婷北京報道8月20日下午,火幣集團在北京宣布上線火幣礦池全球生態通證HPT。“HPT是火幣集團全球生態通證的一個子幣項目,是由火幣礦池發布的一個生態子幣,其價值在于為POS機制.

1900/1/1 0:00:00
白碩:三位一體的幣圈和疊加中的鏈圈_人工智能

來源:投中網 投中網 報道:幣圈是三位一體:有幣、平臺和社區,缺一不可。2018年9月20-21日,由投中信息、投中資本主辦、投中網協辦的第12屆中國投資年會有限合伙人峰會在深圳召開.

1900/1/1 0:00:00
「鏈得得獨家」香港安裝比特幣和以太坊ATM機,可直接進行數字貨幣與現金兌換_BAT

鏈得得9月5日訊,鏈得得香港用戶爆料稱,近日,在香港的上環文咸東街的NakedHub裸心社安裝了比特幣和以太坊ATM機.

1900/1/1 0:00:00
深扒利物幣,被廣泛報道的利物幣傳銷究竟是怎么騙人的?_數字貨幣

深扒利物幣,被廣泛報道的利物幣傳銷究竟是怎么騙人的?首先更正一個概念,那就是利物幣與虛擬幣的關系,在很多報道里,我們都看到如下詞語:360手賺網認為:這種標題是不合適的.

1900/1/1 0:00:00
小兒臍疝不要慌,這些巧方法教各位寶媽如何治療_SERV

新生兒身體各個方面都是很脆弱的,護理不當就會引起一些傷害,而這些傷害,可能會對寶寶生長發育帶來不好的影響,所以家長千萬要注意.

1900/1/1 0:00:00
ads